Leonardo Vizcaya wrote:
Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp,
mi script es este:
#FTP
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
Por lo que leí ya hiciste la corrección acá.
me abre los puertos 80 y 443, pero el 20 y el 21 nada de nada, porque
será¿?¿?¿? no entiendo, cada vez que aprendo mas de iptables me confunde
mas.
En realidad iptables no es tan complicado, lo que son complicados son
los protocolos. Si buscas en google verás que ftp negocia la
transferencia de datos por dentro del protocolo.
Para eso deberás tener cargado y activado el módulo "ip_conntrack_ftp"
(que es el que le permite a iptables relacionar conexiones que salen del
FTP). Luego, gracias al módulo "state", que te permite saber si una
conexión está siendo establecida (NEW), ya fue establecida (ESTABLISHED)
o está relacionada a otra (RELATED) agregas las siguientes líneas [1]
para permitir FTP activo:
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
Para permitir el pasivo:
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED,RELATED -j ACCEPT
Seguramente necesitarás algo similar para poder permitirlo con NAT; pero
eso te lo dejo de ejercicio [2].
De ante mano gracias.
Por nada.
[1] No son de mi autoría, las saqué de
http://kalamazoolinux.org/presentations/20010417/conntrack.html
[2] Vale hacer trampa con google, seguro que lo encuentras por ahí
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
